Krav på efterlevnad
Med införandet av EU-direktivet 2022/2555, även kallat NIS 2, har kraven på efterlevnad inom företagen ökat. Med NIS 2 reagerar man på hotet från cyberattacker inom EU. Direktivet reglerar företagens och institutionernas cyber- och informationssäkerhet. Cyberattacker anses numera världen över vara en av de största affärsriskerna för företag.
NIS 2 ersätter EU-direktivet 2016/1148 (NIS 1) och ska bidra till att förbättra cybersäkerheten inom Europeiska Unionen och bättre skydda företagen. Genomförandet av NIS-2-direktivet innebär därmed också ökade krav på riskhantering och efterlevnad i många företag. Om åtgärderna inte genomförs på rätt sätt i företagen kan det medföra sanktioner, enligt advokatbyrån MTR Legal Rechtsanwälte.
EU har antagit NIS-2-direktivet 2023, och medlemsstaterna måste införliva det i nationell rätt senast 2025. Vilka företag som omfattas av direktivet beror främst på deras verksamhetsart. Direktivet har utvidgats till fler företag som anses vara väsentliga (essential) och viktiga (important). Det leder till en betydande ökning av företag och institutioner som måste uppfylla lagstadgade skyldigheter gentemot Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kritiska infrastrukturer berörda
Till de kritiska infrastrukturer som redan omfattades av NIS-1-direktivet, som energi, transport, hälso- och sjukvård, finans, vattenförsörjning och digital infrastruktur, påverkas ytterligare sektorer av NIS-2-direktivet. Däribland ingår offentliga elektroniska tjänster, andra digitala tjänster som sociala plattformar, avlopps- och avfallshantering, post- och kurirtjänster, offentlig förvaltning eller tillverkare av kritiska produkter. Enligt uppskattningar kommer cirka 29 000 företag i Tyskland, i olika branscher, att påverkas av genomförandet av NIS-2-direktivet. Främst kommer medelstora och stora företag inom kritiska sektorer att uppmanas att vidta lämpliga åtgärder för cybersäkerhet och etablera en effektiv efterlevnad. De är också skyldiga att informera ansvariga myndigheter om säkerhetsincidenter som orsakar betydande störningar eller skador.
NIS-2-direktivet innehåller också bestämmelser för tillsyn, efterlevnad och frivilliga jämförelser för att stärka ömsesidigt förtroende och cybersäkerhet i hela Europeiska Unionen. Detta innebär också att ledningen hålls ansvarig om åtgärder för hantering av cybersäkerhetsrisker inte följs.
Reaktion på attacker på cybersäkerhet
Med NIS-2-direktivet skapas också ett nätverk av Computer Security Incident Response Teams för att utbyta information om säkerhetshot och reagera lämpligt på incidenter. Dessutom skapas det europeiska nätverket för kriskommunikation inom cybersäkerhet. Detta nätverk stödjer regelbundet informationsutbyte mellan medlemsstaterna och EU-institutionerna för att kunna reagera på incidenter och kriser av stor omfattning.
Hur exakt NIS 2 kommer att införlivas i nationell lag i Tyskland är ännu inte fastställt. Anledningen är att genomförandet har fördröjts av de förtida Bundestag-valen. Det står dock klart att implementeringen av NIS 2 gör cybersäkerhet till ett ämne även för många små och medelstora företag.
Företag måste genomföra säkerhetsåtgärder
De ställs inför utmaningen att genomföra nödvändiga säkerhetsåtgärder genom NIS 2 för att skydda data och kritisk infrastruktur från möjliga cyberattacker. För detta måste nödvändiga tekniska och organisatoriska åtgärder vidtas. Om ett företag blir offer för en cyberattack, måste det finnas planer för att omedelbart begränsa skadorna och återställa systemen. Dessutom måste de ansvariga myndigheterna informeras. Företagen måste också genomföra regelbundna tester för att identifiera och eliminera sårbarheter. Cybersäkerheten ska även existera inom leveranskedjan. Därför måste man också reagera på risker där.
Genomförandet av NIS-2-direktivet innebär utmaningar för en effektiv efterlevnad i de berörda företagen, inte minst eftersom styrelser och ledande organ personligen kan hållas ansvariga om de nödvändiga säkerhetsåtgärderna inte genomförs.
MTR Legal Rechtsanwälte stödjer företag vid implementeringen av effektiva efterlevnadssystem och ser till att de lagstadgade kraven efterlevs. Som advokatbyrå ger MTR Legal råd om efterlevnad och andra ekonomiskrättsliga frågor.
Ta gärna kontakt med oss!
